Violação de dados: checklist essencial para minimizar danos

A forma como responde a uma violação de dados e a quantidade de danos que causa depende do quão bem preparado está.

Por Susan Bradley

Uma vez que ocorre uma violação, vai querer identificar ao que os atacantes tiveram acesso e como acederam aos dados. Estas informações ajudam-no a identificar se precisa de notificar os utilizadores de que os seus dados foram adulterados e aprender a proteger-se do próximo ataque.

Primeiro, certifique-se de tem os recursos e os preparativos necessários para investigar. O processo de identificação de como um intruso entrou na rede é muitas vezes baseado em evidências e análises de linha do tempo. Saber a melhor forma de lidar com as provas e ter um plano em vigor antes de ocorrer uma intrusão é essencial para lidar adequadamente com a investigação.

Esta lista de verificação de tarefas facilitará a resposta a uma violação de dados ou limitará os seus danos:

Criar um plano de comunicação

Tenha planos para comunicar à administração sobre potenciais ameaças e riscos para a organização – e planos e ferramentas para combater ameaças. Encontre-se regularmente para discutir riscos e reações. Identifique os principais ativos da empresa e identifique os processos de proteção que está a executar para proteger esses ativos-chave.

Então tenha um plano de ação sobre o que seguir se ocorrer uma violação. Identifique suportes alternativos com números de telefone alternativos e endereços de e-mail que não fazem parte de e-mails ou infraestruturas corporativas, porque o e-mail da sua empresa pode ser afetado ou pirateado durante a intrusão.

Estabeleça um ponto de contacto com as autoridades locais com antecedência. Dependendo do tamanho do seu negócio, isto pode ser fácil de fazer ou poderá ter de procurar orientação do seu fornecedor de seguros informáticos.

Manter cópias de segurança externas dos ficheiros de acesso e registo de segurança

A forma como um intruso obtém acesso a uma rede é frequentemente encontrada a vasculhar ficheiros de registo, por isso armazena cópias de segurança e acede aos ficheiros de registo externamente porque tendem a ser substituídos rapidamente.

Ter controlos de acesso adequados no lugar

Documente os processos de integração e desativação dos colaboradores de e para os recursos da sua rede, garantindo que as permissões e o acesso são definidos ou removidos adequadamente. Educar os colaboradores sobre os procedimentos adequados para o manuseamento de senhas, tanto para o acesso à rede como para as palavras-passe necessárias para várias aplicações. Certifique-se de que ninguém deixa palavras-passe simples para trás nos repositórios de ficheiros.

Limitar o acesso remoto

Muitas das metodologias que os atacantes usam para aceder à rede dependem das suas próprias técnicas de acesso remoto. Como as usa há anos, as palavras-passe utilizadas para acesso foram provavelmente recolhidas e partilhadas em fóruns ou vendidas online. Recentemente, foi noticiado que os nomes de utilizadores e senhas de mais de “1,3 milhões de servidores de desktop remotos do Windows e historicamente comprometidos foram vazados pela UAS, o maior mercado de hackers para credenciais DE RDP roubadas”.

Depois dos atacantes terem acesso através do protocolo Remote Desktop Protocol (RDP), podem realizar movimentos laterais na rede, especialmente se obtiverem uma senha administrativa. A base de dados da UAS mostrou que muitos servidores usavam credenciais inseguras e fáceis de adivinhar, e o software de terceiros muitas vezes instalou credenciais de acesso remoto padrão e palavras-passe que poderiam ser usadas por atacantes.

Tem várias formas de combater o risco de comprometer o acesso remoto. Em primeiro lugar, pode limitar o ambiente de trabalho remoto a endereços IP específicos como medida inicial de proteção. Em seguida, pode configurar o Ambiente de Trabalho Remoto para passar pelo Gateway de Ambiente de Trabalho Remoto como autenticação adicional, bem como utilizar ferramentas como Duo.com para fornecer autenticação de dois fatores. Em suma, não deve haver razão para expor o ambiente de trabalho remoto a algo externo.

Mantenha sua VPN corrigida

Outro meio que os atacantes usam para obter acesso remoto é usar vulnerabilidades em software de acesso externo, como redes privadas virtuais (VPNs). As vulnerabilidades no servidor VPN Pulse Secure foram recentemente utilizadas em ataques. Foram colocadas teias no dispositivo Pulse Connect Secure para acesso e persistência adicionais. Em janeiro de 2020, o software Citrix VPN também estava sujeito a vulnerabilidades.

Reveja o nível de correção de qualquer software VPN ligado à sua rede. Se o patch não estiver atualizado nas suas VPNs, está a colocar a sua rede em risco.

Implementar o software VPN, especialmente quando instalado em máquinas remotas, pode ser problemático. Muitas empresas estão a migrar para ferramentas em cloud, como a Intune, para melhor controlar e atualizar máquinas. Se utilizar software VPN de terceiros, reveja as suas opções de patch e implementação com o fornecedor. Certifique-se sempre de que a sua equipa de patchs se inscreveu para receber notificações de atualização de software do fornecedor.

Autores
Tags

Artigos relacionados

O seu comentário...

*

Top